Trojan Sirefef.O

[CKwarrior]

Pilnie potrzebuję pomocy! Jak w temacie zagnieździła mi się jakaś menda Sirefef.O

Zasoby:

file:c:\Windows\3435468734:1105738291.exe

process:

pid:1484

błagam pomocy nie było mnie w domu 5 dni i takie coś?

 

załączam logi z dummycreatora

ale cos krotki mi sie wydaje :

Result.txt

[Landuss]

DummyCreator to nie jest narzędzie do robienia loga, tylko do wspomagania właśnie przy iniekcji Sirefef czyli rootkicie ZeroAccess jeśli jest problem z jego usunięciem.

 

1. Wykonaj skan narzędziem Kaspersky TDSSKiller i przy wykryciu pozycji ZeroAccess wybierz opcję Cure (leczenie).

 

2. Użyj zgodnie z wytycznymi narzędzia ComboFix

 

3. Wklejasz log z ComboFix i raport z Kasperskyego oraz wykonujesz logi z OTL

[CKwarrior]

OKA tylko nie myśl że się napinam ale chyba mam nadzieję kaspersky TDSSKiller pomógł bo już mi nie wyskakuje ostrzeżenie ale mimo wszystko nie mogę zainstalować żadnego antyvira bo wywala mi a to, że net zerwało a to, że nie obsługuje tej platformy a to inne cuda nawet wcześniej miałem avasta a teraz nie mogę? Nie obsługuje tej platformy?

[Landuss]

Musisz wykonać dalsze punkty. Operacja z Kasperskym to dopiero cząstka usuwania. Na razie nie przejmuj sie zadnymi instalacjami, to się zrobi na końcu po usuwaniu. Dopóki działa infekcja nic z tym nie zrobisz. Czekam na raporty.

[CKwarrior]

Landuss wczoraj już nic więcej nie mogłem zrobić

Dopiero dziś odzyskałem władzę nad klawiaturą bo przestała działać i nie mogłem się jeszcze łączyć z netem (mam play usb),

dziś zrobiłem loga w combo i załączam go aha dodam, że po działaniu combofixa przy ponownym łączeniu sie z siecią wyskoczył komunikat, że klucz rejestru playa został przeznaczony do usunięcia aha

combofix nie kazał mi robić reseta po skanie.

doczytałem więcej bo dziś mogę i dorzucam jeszcze OTL-a i extras

Czekam na szybką pomoc proszę

ps. na kompie pracuję

ComboFix.txt

Extras.Txt

OTL.Txt

[Landuss]

Wygląda na to, ze program usunął infekcję, choć nie wkleiłeś loga z pierwszego uruchomienia. Gdybyś jednak znalazł na dysku log z pierwszego uruchomienia to możesz go pokazać. Jednak to jeszcze nie koniec i potrzebne są poprawki. Tym razem zrobimy to już przez OTL.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\JA\AppData\Local\be17c5cc
C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll
C:\Users\JA\AppData\Roaming\Mozilla\Firefox\Profiles\n8ufanzy.default\searchplugins\startsear.xml
C:\Users\JA\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
IE - HKU\S-1-5-21-3455257864-3559882727-3838934481-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q="
O8 - Extra context menu item: Block frame with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_frame" File not found
O8 - Extra context menu item: Block image with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_image" File not found
O8 - Extra context menu item: Block link with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_link" File not found
O8 - Extra context menu item: Don't filter page with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_exclude" File not found
O8 - Extra context menu item: Report page to the Ad Muncher developers - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_report" File not found
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wejdź w panel usuwania programów i odinstaluj wątpliwej reputacji wtyczkę vShare.tv plugin 1.3

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

[CKwarrior]

Landuss jak mozesz mi powiedzieć gdzie szukać tego pierwszego to poszukam i wstawię a teraz akcja ta co poleciłeś

 

OTL1 to przed odinstalowaniem wtyczki

 

OTL2 to po usunieciu

otl1.txt

OTL2.txt

[Landuss]

Ten log sobie juz darujemy. A gdzie log z Ad-Remover? Dołącz i przejdziemy dalej.

[CKwarrior]

a masz jakieś zaufane strony?

jeśli o to chodzi :

ad.txt

[Landuss]

a masz jakieś zaufane strony?

 

Nie rozumiem pytania. Przecież dostałeś linka do narzędzia.

 

Poza tym to nie jest log z Ad-Remover. Masz odpalić program i kliknąć w opcję Scan (skanowanie). Wtedy powstanie raport, który zaprezentujesz.

[CKwarrior]

tym pytaniem się nie przejmuj ja najpierw piszę a potem myślę

No właśnie tak zrobiłem ściągnąłem z tego linka i wcisnąłem skan.

za godzinkę się zwalniam z pracy i będę w domku to od razu ściągnę to narzędzie jeszcze raz i wstawię raport z Ad-remowerva

muszę Ci powiedzieć, że wczoraj po tych kilku zabiegach wydaje mi się, że kompowi się troszkę polepszyło ale wolę, żebym był pewien że już tego syfu się pozbyłem w całości.

 

OK! Jestem w domu i mam raport :

 

proszę o dalsze wytyczne

Ad-Report-SCAN1.txt

[Landuss]

W porządku. Można przechodzić do czynności końcowych.

 

1. Użyj opcji Sprzątanie z OTL oraz opcji Clean z Ad-Remover.

 

2. Odinstaluj poprawnie ComboFix - Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "C:\Users\JA\Desktop\ComboFix.exe" /uninstall

 

3. Zaktualizuj poniższe oprogramowanie do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 29

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Koniecznie zmień wszystkie hasła logowania gdyż przy tego typu infekcji jest to wymagane.

[CKwarrior]

Czy po wykonaniu powyższych czynności jest już wszystko ok?

Jeśli tak bardzo dziękuję Ci za pomoc ;P

dodatkowo po próbie uninstala combo wyskakuje mi(zał)

[picasso]

dodatkowo po próbie uninstala combo wyskakuje mi

 

Landuss zadał niewłaściwą kolejność działań. Sprzątanie w OTL (musi iść na końcu po deinstalacji ComboFix) usuwa plik ComboFix.exe, dlatego nie można już narzędzia odinstalować w prawidłowy sposób. Pobierz ponownie ComboFix na Pulpit i ponów komendę.

 

 

 

.

[CKwarrior]

Tak tez mi sie wydawało bo przeczytałem chyba wszystkie wątki dotyczące zeroaccess i chyba teraz rozumiesz mojego pw tak zrobię i cz dać jakiś raport później?

[Landuss]

Nie musisz już nic dawać. Pytanie tylko czy problemy ustąpiły? Jeśli tak - temat będziemy zamykać.

[CKwarrior]

Jeszcze raz dzięki wielkie za pomoc wszystko hula super możemy zamykać!

Muszę przyznać, że jesteście naprawdę kompetentni super

Jeszcze raz dzięki

ps. dalej będę zaglądał może czegoś się nauczę!